Belakangan ini Heartbleed menjadi topik terhangat yang diperbincangkan di internet, terutama bagi mereka yang berkecimpung di dunia kemanan internet, bahkan situs komunitas besar seperti Kaskus sendiri menurut catatan ArsTechnica masuk dalam daftar rentan akan serangan Heartbleed. Lantas, apa itu Heartbleed?
Heartbleed adalah software bug atau lebih sederhananya merupakan cacat perangkat lunak pada sebuah sistem kriptografi open-source yang disebut OpenSSL. OpenSSL sendiri merupakan implementasi open-source dari protokol SSL dan TLS yang berfungsi untuk mengimplementasikan fungsi kriptografi dasar dan menyediakan berbagai fungsi utilitas. Lantas, dengan adanya Heartbleed ini sesorang bisa membaca isi memori dari klien atau user yang berkomunikasi dengan protokol TLS lewat library tersebut sehingga data seperti password atau data-data yang sebelumnya dikirim atau diterima bisa dengan mudah untuk dicuri. Ada rumor yang mengatakan bahwa ada beberapa situs yang dijebol dengan teknik ini jauh sebelum Heartbleed ditemukan.
Heartbleed sangat berbahaya (menurut saya sangat hebat) karena dapat membuat website yang menggunakan SSL (protokolnya menjadi https://) sertifikat SSLnya dicabut (revoke) kemudian membuat yang baru, mengupdate versi OpenSSL, lalu kemudian mereset seluruh password usernya atau terkadang memberikan peringatan supaya user mengganti password. Dalam hal ini seseorang bisa mencuri sampai 64K data pada satu waktu dari memori aktif sebuah sistem yang terkena dampak. Intinya, semua data yang bisa disimpan dalam memori komputer akan bisa didapatkan dengan cara ini, tinggal sesuai keinginan si penyerang dalam mengumpulkan informasi. Jadi data-data seperti email, username, password, dan sebagainya sangat mudah untuk didapatkan.
OpenSSL yang diserang sendiri merupakan versi 1.0.1 sampai 1.0.1f yang sudah aktif sejak Desember 2011 yang mengindikasikan resikonya sangat besar karena menurut data dari Netcraft sudah ada sekitar 66% website (+1/2 milyar) yang menggunakan OpenSSL yang memilki celah untuk bug ini mengingat OpenSSL ini sudah ada lebih dari 2 tahun. Faktanya, beberapa website besar seperti Google, Facebook, Yahoo, Instagram, Amazon, GoDaddy, YouTube, SoundCloud dan masih banyak lagi adalah website yang masih menggunakan OpenSSL yang memilki celah untuk Heartbleed. Tapi untunglah sekarang sudah diupdate, tapi tetap saja ini hanya untuk saat sekarang, dan dikarenakan bug ini sudah lama (diduga) maka peluang akan bocornya informasi user sangatlah besar (data sebelum dilakukan patch). Anda bisa membayangkan seandainya orang yang memanfaatkan celah ini menyerang penyedia layanan hosting? bayangkan berapa banyak database yang bisa dia dapatkan, dan berapa besar keuntungan yang bisa dia dapatkan jika menjualnya di forum black hat.
Yang perlu dicatat adalah selama website belum mengupdate versi OpenSSL atau mengganti sertifikat SSL yang digunakan, kebocoran data tidak bisa dihindari. Ini berarti meskipun anda mengganti seluruh password akun anda, tetapi selama website tersebut tidak melakukan update atau perubahan terhadap OpenSSL atau SSL, ya sama saja. Untuk sekedar mengetahui daftar dari website yang terkena dampak dari Heartbleed ini, anda bisa melihatnya pada halaman ini. Semenjak daftar tersebut dipublikasikan pada tanggal 8 April, website besar seperti Yahoo, Gmail, dan Facebook mengklaim sudah melakukan patch untuk menambal celah keamanan yang ada.
Bagaimana, anda sudah paham mengenai Heartbleed Bug? kalau masih bingung, mungkin gambar sederhana ini bisa menjelaskan:
Referensi:
http://en.wikipedia.org/wiki/Heartbleed
http://www.bbc.com/news/technology-26969629
http://www.forbes.com/sites/jameslyne/2014/04/10/avoiding-heartbleed-hype-what-to-do-to-stay-safe/
http://en.wikipedia.org/wiki/OpenSSL
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
http://tekno.kompas.com/read/2014/04/11/1700276/Kaskus.Masuk.Daftar.Situs.Wajib.Ganti.Password.
Sampaikan Komentar Anda: